Was Unternehmen beim Umgang mit Cyberattacken beachten sollten

Vorbereitet sein!

Cyberattacken gelten als Bedrohung Nummer 1 für Unternehmen. Umso wichtiger ist es, auf mögliche Vorfälle vorbereitet zu sein. Dadurch kann im Ernstfall der Umgang mit der Krise leichter fallen. Welche Punkte es dabei zu beachten gilt, beleuchten Johannes Fischer und Joshija Kelzenberg von Crunchtime Communications.

Bild: ©VideoFlow/stock.adobe.com

Laut dem Allianz Risk Barometer 2023 (Seite 1) sehen Unternehmen Cyber-Vorfälle das zweite Jahr in Folge als größtes Geschäftsrisiko. In der Tat vergeht kaum ein Tag, an dem nicht eine neue erfolgreiche Cyber-Attacke öffentlich wird. So soll im Sommer 2022 beim Autozulieferer Continental die Ransomware-Gruppe ‘Lockbit 3.0’ 40 Terabyte an Daten erbeutet haben. Das ist nur eines von zahlreichen Beispielen. Rund jedes zweite Unternehmen war 2022 von einem Cyber-Angriff betroffen. Das BKA geht von einer noch höheren Dunkelziffer aus. Industrieunternehmen sind einem besonders großen Risiko ausgesetzt. Nicht nur, weil die weiter fortschreitende Digitalisierung von Lieferketten und Produktionsanlagen zusätzliche Angriffsflächen bietet und das finanzielle Schadensrisiko bei industriellen Produkten besonders groß ist. Auch die aktuellen geopolitischen Krisen, die ein starker Treiber von Cyber-Attacken sind, machen die Industrie besonders anfällig. Im Fokus der Angreifer stehen zunehmend kritische Infrastrukturen und öffentlichkeitswirksame Ziele – somit auch die Industrie. Die allermeisten Unternehmen sind sich des großen Risikos bewusst und die Investitionen in Cyber-Sicherheit nehmen Jahr für Jahr signifikant zu. Dennoch ist das Risiko bislang nicht ausreichend beherrschbar, wie das Beispiel Continental und die insgesamt hohen Fallzahlen zeigen. Und laut Cyber Readiness Report 2022 sahen weniger als zwei Prozent der Cyber-Sicherheitsverantwortlichen ihr Unternehmen ausreichend für einen möglichen Cyber-Angriff gewappnet. Krisenprävention und -vorbereitung ist bei Cyber-Krisen absolut erfolgskritisch und sollte auf der Prioritätenliste eines jeden Unternehmens ganz oben stehen.

Vorbereitet sein

Jenseits der technologischen Anforderungen und Möglichkeiten, erweisen sich aus kommunikativer und organisatorischer Perspektive die nachfolgenden sieben Faktoren als besonders relevant und wirksam. Einerseits um das Eintrittsrisiko und Schadenspotenzial zu minimieren. Andererseits um für den Ernstfall eine schnelle und zielgerichtete Reaktion sicherzustellen.

• Direkte Anbindung an die Geschäftsleitung: Die Verantwortung für Cyber-Krisenmanagement muss bei der Unternehmensleitung angesiedelt sein und benötigt dort unmittelbare Aufmerksamkeit. Zum einen, weil Cyber-Krisen ein signifikantes Risiko für Geschäft und Reputation darstellen und vergleichsweise schnell ein existenzgefährdendes Ausmaß annehmen können. Zum anderen, weil nur so die für die Sensibilisierung der gesamten Organisation erforderliche Ernsthaftigkeit und Verbindlichkeit gegeben ist. Die Implementierung eines Chief Information Security Officer (kurz CISO) kann das ermöglichen. Hierbei handelt es sich in der Regel um ein Mitglied des Vorstands, das die Gesamtverantwortung für die IT-Sicherheit im Unternehmen innehat. Dies bietet sich insbesondere in Großunternehmen an, um Vorstände zu entlasten und die Kompetenzen im Bereich IT-Sicherheit zu bündeln. Gerade Unternehmen, die Teil der kritischen Infrastruktur sind und regelmäßig behördlich nachweisen müssen, dass ihre Cyber-Sicherheit auf einem aktuellen Stand ist, sind gut beraten hierfür einen CISO zu implementieren.
• Interdisziplinärer Ansatz aus IT, Recht, HR und Kommunikation: Oft wird Cybersicherheit aus technologischer Sicht betrachtet und als funktionale Verantwortlichkeit der IT im Unternehmen verankert. Sowohl vor einer möglichen Krise als auch im Akutfall kommt jedoch auch den Bereichen Recht, Kommunikation und HR eine erfolgskritische Bedeutung zu. Nur durch einen ganzheitlichen Ansatz und das nahtlose Zusammenwirken aller Disziplinen kann eine bestmögliche Krisenprävention und -vorbereitung gelingen. IT und Recht schaffen beispielsweise die Voraussetzungen, um in der Kommunikation gegenüber Versicherern und weiteren Stakeholdern nachweisen zu können, dass alle erforderlichen und möglichen Vorkehrungen getroffen sind. Abhängig von der internen Expertise, kann auch ein Netzwerk aus externen Spezialisten helfen.
• Mensch im Mittelpunkt: 9 von 10 Cyber-Attacken werden durch menschliches Fehlverhalten ermöglicht. Deshalb muss ein besonderes Augenmerkt auf die Sensibilisierung der Belegschaft gelegt werden. Alle Mitarbeitenden im Unternehmen müssen sich der Risiken und Fehlerquellen sowie ihrer persönlichen Verantwortung bewusst sein. Dies erfordert regelmäßige Aufklärungsarbeit, die vertiefende Auseinandersetzung in Interaktionsformaten sowie Penetrationstests.
• Destigmatisierung und Fehlerkultur: Viele Unternehmen gehen zurückhaltend und verschlossen mit einem Cyber-Vorfall um, oft aus Sorge vor negativen Konsequenzen. Das gleiche gilt für Mitarbeitende, die befürchten einen Fehler zu begehen bzw. begangen zu haben. Diese Zurückhaltung kann fatal sein. Deswegen gilt es einen möglichst offenen und konstruktiven Umgang mit Cyber-Risiken zu etablieren. So werden mögliche Krisenherde früher erkannt und der drohende Schaden reduziert.
• Definierte Strukturen und Abläufe: Bei einem Cyberangriff zählt jede Sekunde. Mitarbeitende, Kunden, Kapitalmarkt, Behörden und weitere Stakeholder verlangen kurzfristig Informationen und Antworten auf zahlreiche Fragen. Dabei müssen Unternehmen mit einer unklaren und dynamischen Sachlage umgehen. Ohne einen Krisenstab mit klar definierter Rollenverteilung sowie festgelegten Informations-, Redaktions- und Freigabeprozessen ist dies nahezu unmöglich. Hierbei gilt es nicht nur, einen Krisenstab für den Ernstfall zu haben, sondern diesen auch richtig besetzen zu können. Mitglieder sollten entscheidungsbefugte Vertreter der betroffenen und an der Behebung beteiligten Abteilungen sein (u.a. IT, Kommunikation, HR, Recht & Management). Für die Leitung und Aufgabenverteilung im Krisenstab bietet sich je nach Unternehmensgröße der CISO an oder ein direkt an den Vorstand berichtender Krisen- oder Risikomanager. Die Aufgaben und Abläufe im Krisenstab sollten vorgefertigten Notfallplänen folgen. Darin sollten sich etwa Melde- und Informationsketten, Ansprechpartner, Hierarchien, Maßnahmen-Priorisierungen sowie Vorlagen für verschiedene Szenarien, Reaktionen und die Dokumentation des Vorfalls finden.
• Simulieren und Trainieren: Im Krisenstab und darüber hinaus sollte der Ernstfall simuliert und trainiert werden. Unternehmen können eine Cyberattacke inszenieren und die eigene Infrastruktur testen. Dies kann sowohl unangekündigt unter realen Bedingungen neben dem Tagesgeschäft erfolgen als auch angekündigt in einem geschützten Rahmen. Dies dient zum einen als Training, als auch zur Prüfung der Wirksamkeit der Krisenvorbereitung.
• Kontinuierlicher Prozess: Krisenprävention und -vorbereitung sind eine Daueraufgabe. Mit zunehmender Digitalisierung im Unternehmen ergeben sich neue Angriffsflächen. Gleichzeitig entwickeln sich die technologischen Möglichkeiten und Strategien der Angreifer weiter. Deswegen gilt es die eigene Krisenprävention und -vorbereitung laufend zu überprüfen und weiterzuentwickeln. Es gilt zudem, auch abgewehrte und erfolgreiche Cyberattacken zu analysieren, um daraus zu lernen.

In Nicht-Krisenzeiten vorbereiten

Wie auch Menschen, befassen sich Organisationen ungern mit unangenehmen und negativen Themen, wenn sie nicht akut sind. So besteht in Nicht-Krisenzeiten oft kein Handlungsdruck und es fehlt an Motivation, Priorität und Investitionsbereitschaft. Und gerade für Industrieunternehmen ist die Implementierung von Sicherheitsmaßnahmen oft mit Produktionsstopps verbunden. Wenn eine Krise aber akut wird und der Handlungsdruck steigt, steigt notgedrungen auch die Handlungsbereitschaft. Auch das zeigt der Fall Continental: Der Automobilzulieferer hat als Reaktion auf den Angriff die Datensicherheit intern zum Thema Nummer 1 gemacht. Mehr als 300 Mitarbeitende sind mit der Aufarbeitung des Falls vertraut. KPMG wurde als externe Beratung hinzugezogen und die eigene Organisationsstruktur wurde angepasst, um in Krisensituationen besser aufgestellt zu sein. Dies sind Maßnahmen, die insbesondere in der Kürze der Zeit und unter Hochdruck sehr viel Ressourcen und Energie beanspruchen. Die Erkenntnis, dass man die Maßnahmen besser im Vorfeld ergriffen hätte, um den Angriff abzuwehren oder abzumildern, mag nach ‘hinterher ist man immer schlauer’ klingen, greift aber angesichts der hohen Eintrittswahrscheinlichkeit und des Schadenspotenzials von Cyber-Attacken zu kurz. Denn die Frage ist nicht, ob ein Unternehmen davon betroffen ist, sondern wann. Krisenprävention und -vorbereitung sollten daher in jedem Unternehmen weit oben auf der Agenda stehen und laufend weiterentwickelt und verbessert werden.

Datum:15. Februar 2023

Autoren:Crunchtime Communications GmbH

Themen: Security, Hardware und Infrastruktur, Lösungen und Technologien, Technik

Webseite: www.crunchtime-communications.com

Downloads:

Das könnte Sie auch interessieren

Technik

PTK diskutiert Herausforderungen für die Industrie

Fraunhofer IPK und IWF der TU Berlin laden vom 14. bis 15. September 2023 zum 17. PTK nach Berlin ein. Rund 200 Gäste aus Wirtschaft und Wissenschaft werden erwartet, um branchenübergreifend Herausforderungen für den Industriestandort Deutschland zu diskutieren.‣ weiterlesen

Technik

Daten aus alten Maschinen holen

Alle Maschinen, Anlagen und Systeme sind miteinander vernetzt und kommunizieren kontinuierlich - das ist das Ziel der Industrie 4.0 oder auch Smart Factory. Die Erfassung von Daten aus der Produktionsumgebung ist dafür unabdingbar. In der Realität werden diese Daten zwar gesammelt, aber oft nicht genutzt.‣ weiterlesen

Technik

Wo bleiben die europäischen KI-Sprachmodelle?

Expertinnen und Experten der Plattform Lernende Systeme beleuchten in einem neuen Whitepaper, wie es um die Entwicklung europäischer bzw. deutscher KI-Sprachmodelle bestellt ist.‣ weiterlesen

Industrie 4.0

Unternehmen wollen Daten nutzen, aber nicht teilen

In 12 Prozent der Unternehmen tragen Daten laut einer Bitkom-Befragung bereits stark zum Geschäftserfolg bei, aber zwei Drittel schöpfen Potenzial nicht aus. 4 von 10 Unternehmen nutzen Daten von anderen oder geben eigene Daten weiter.‣ weiterlesen

Topstory

Wird die deutsche Industrie Energiesparmüde?

Laut einer Umfrage von Reichelt Elektronik investieren Unternehmen im industriellen Sektor in Energiesparmaßnahmen, sehen sich aber auch unter großem Druck. 45 Prozent ziehen energieintensive Prozesse zumindest teilweise ins Ausland ab.‣ weiterlesen

Technik

Plattform Lernende Systeme gibt Überblick über KI-Regularien

Künstliche Intelligenz (KI) gilt als Schlüsseltechnologie und birgt zugleich auch Risiken. In der aktuellen Debatte generative KI-Modelle werden Rufe nach Regulierung laut.‣ weiterlesen

Technik

Nachholbedarf in kleinen Unternehmen: Viel Papier und veraltete Arbeitsprozesse

Unzureichender Technologieeinsatz wirkt sich negativ auf die Produktivität kleiner Unternehmen aus. Zu diesem Ergebnis kommt eine Umfrage von Adobe Systems. Für die Mehrheit der Befragten ist der Einsatz solcher Technologien sogar ein Faktor, um einen Job anzutreten.‣ weiterlesen

Exklusiv für Abonnenten

Technik

Mehr Stabilität in Krisenzeiten

In den vergangenen Jahren ist der Krisenzustand fast normal geworden. Künstliche Intelligenz kann Unternehmen helfen, in diesen Zeiten Stabilität zu gewinnen. Das BMWK-Forschungsprojekt Pairs zeigt, wie das gelingen kann.‣ weiterlesen

Technik

Chance versus Risiko

Laut einer Umfrage des TÜV-Verbands sorgt sich die Bevölkerung vor unkalkulierbaren Risiken, Fake-News-Schwemmen und Arbeitsplatzverlusten im Zusammenhang mit generativer künstlicher Intelligenz. 84 Prozent fordern gesetzliche Vorgaben für KI-Anwendungen.‣ weiterlesen

Technik

IT für Mass Customization

Mit modernen Fertigungsprozessen und Technik lässt sich heute ein personalisiertes Produkt zum Preis der Serienfertigung herstellen. Mass Customization heißt das. Doch auf dem Weg dorthin müssen sich Abläufe und Produktions-IT großen Herausforderungen stellen.‣ weiterlesen

Technik

Dekarbonisierung durch grünen Wasserstoff?

Wasserstoff, der möglichst CO2-Arm erzeugt wird, entwickelt sich zu einem der vielversprechendsten Instrumente zur Dekarbonisierung von Branchen mit bislang hohen Emissionen. Laut einer Studie des Capgemini Research Institute, prüfen sich 62 Prozent der Unternehmen aus energieintensiven Industriezweigen den Umstieg auf CO2-arm erzeugten Wasserstoff.‣ weiterlesen

Datum: 15. Februar 2023

Autoren: Crunchtime Communications GmbH

Themen: Security, Hardware und Infrastruktur, Lösungen und Technologien, Technik

Webseite: www.crunchtime-communications.com

Downloads:

News

Datenverschlüsselung durch Ransomware erreicht Höchststand

Wie der IT-Security-Spezialist Sophos in einem aktuellen Report beschreibt, können Lösegeldzahlung im Falle von Ransomware-Angriffen Wiederherstellungskosten zusätzlich vergrößern. In Deutschland waren laut Untersuchung 58 Prozent der befragten Organisationen von einer Attacke betroffen.‣ weiterlesen

</div>

Predictive Maintenance braucht die richtige Strategie

Eine Redewendung sagt: 'Vorhersagen sind schwierig, vor allem wenn sie die Zukunft betreffen.' Jedoch können Daten helfen, bessere Entscheidungen für Morgen zu treffen. Dieser Beitrag erläutert, wie das funktioniert und warum manche Unternehmen das Potenzial von Predictive Maintenance nicht richtig nutzen.‣ weiterlesen

</div>

Infineon setzt Spatenstich für neues Werk in Dresden

Infineon hat den Spatenstich für ein neues Werk in Dresden gesetzt. EU-Kommissionspräsidentin Ursula von der Leyen, Bundeskanzler Olaf Scholz, Sachsens Ministerpräsident Michael Kretschmer und Dresdens Oberbürgermeister Dirk Hilbert starteten gemeinsam mit dem Infineon-Vorstandsvorsitzenden Jochen Hanebeck symbolisch die Bauarbeiten.‣ weiterlesen

Wenn wichtige Entscheidungen liegen bleiben

Drei Viertel der Führungskräfte in Deutschland leiden unter Entscheidungsnot und 97 Prozent wünschen sich datengestützte Hilfe. Das geht aus einer Studie von Oracle hervor. Demnach würde die etwa die Hälfte der befragten Führungskräfte es sogar vorziehen, wenn Roboter für sie Entscheidungen träfen.‣ weiterlesen

CyberRisiko-Check für kleine Unternehmen

Das vom Bundesverband Der Mittelstand. BVMW geleitete Projekt 'mIT Standard sicher' soll kleine Unternehmen mit bis zu 50 Beschäftigten mit seinem neuen Beratungsstandard für die IT-Sicherheit DIN SPEC 27076 - kurz: CyberRisiko-Check unterstützen.‣ weiterlesen

Was Unternehmen beim Umgang mit Cyberattacken beachten sollten

Vorbereitet sein!

Vorbereitet sein

In Nicht-Krisenzeiten vorbereiten

Das könnte Sie auch interessieren

INDUSTRIE 4.0 & IIoT-MAGAZIN Leseprobe